University of Michigan obwinia wycieki hasła za naruszenia danych podmiotów zewnętrznych

W piątek studenci z University of Michigan (UM) zostali powiadomieni o pływających listach danych logowania. Plik był swobodnie rozpowszechniany i rzeczywiście zawierał dziesiątki tysięcy par adresów e-mail @umich.edu i hasła w postaci zwykłego tekstu. Niektórzy studenci spojrzeli na listę i bali się, że dowiedzą się, że ich dane logowania są prawidłowe. Jak można się było spodziewać, początkowo obwinili za progiem UM, ale później okazało się, że instytucja nie była w żaden sposób odpowiedzialna za wyciek. W rzeczywistości okazało się, że to uczniowie mogli zrobić znacznie więcej, aby się chronić.

Dane logowania wyciekły podczas niepowiązanych naruszeń

Niedługo po tym, jak listy zostały upublicznione, Uniwersytet Michigan wydał oficjalną poradę, wyjaśniając, że wyciekły adresy e-mail i hasła pochodzą z przypadków naruszenia danych przez osoby trzecie. Uniwersytet zapewnił swoich studentów, że jego systemy nie zostały naruszone i ogłosił, że zresetuje hasła, jeśli zobaczy realne niebezpieczeństwo nieautoryzowanego dostępu.

Po wyjaśnieniu tego, co dokładnie się wydarzyło, poradnik dał uczniom kilka wskazówek, jak zwiększyć ich ogólne bezpieczeństwo w Internecie. Trzeba powiedzieć, że gdyby studenci zastosowali się do tych wskazówek przed opublikowaniem listy haseł, doradztwo byłoby całkowicie niepotrzebne.

Jak studenci UM narażają się na niebezpieczeństwo

Lista nazw użytkowników i haseł naraża studentów UM na bardzo realne ryzyko ataków polegających na wypełnieniu danych uwierzytelniających. Dla tych z was, którzy nie wiedzą, w ataku polegającym na wypełnieniu poświadczeń hakerzy biorą dużą listę nazw użytkowników i haseł skradzionych z jednej usługi i wypróbowują je przeciwko wielu innym. Mają nadzieję, że wiele osób korzysta z tych samych danych uwierzytelniających na wielu różnych stronach internetowych, a fakt, że wypełnianie poświadczeń jest powszechnie uważane za najlepszy sposób na narażenie dużej liczby kont przy minimalnym wysiłku pokazuje, że ich zakład zwykle się opłaca.

Powszechnie wiadomo, że jedynym sposobem na powstrzymanie ataków polegających na fałszowaniu danych uwierzytelniających jest powstrzymanie ponownego użycia hasła, ale jasne jest, że łatwiej to powiedzieć niż zrobić. Dlatego istnieje uwierzytelnianie dwuskładnikowe.

University of Michigan pomyślał o bezpieczeństwie swoich studentów i wdrożył system, który wymaga od użytkownika odebrania połączenia, wprowadzenia kodu lub dotknięcia powiadomienia wypychanego w celu pomyślnego zalogowania. Niestety nie jest domyślnie włączona i trudno jest powiedzieć, ilu uczniów, których dotyczy problem, korzysta z niej.

Prawdopodobnie powinniśmy poruszyć również kwestię, skąd pochodzą dane. W swoim poradniku University of Michigan wspomniał o trzech dostawcach usług internetowych, którzy zostali naruszeni w przeszłości i mogli działać jako źródło wyciekających adresów e-mail i haseł: Chegg, LinkedIn i Zynga. Powinniśmy zaznaczyć, że nikt oficjalnie nie potwierdził, skąd pochodzą skradzione dane, ale pójdziemy z tymi trzema dostawcami, aby zilustrować, jak ważne jest zastanowienie się, jakiego adresu e-mail używasz podczas rejestracji konto internetowe.

Chegg oferuje usługi w dziedzinie edukacji. Możesz zobaczyć, jak uczeń może użyć swojego adresu e-mail University of Michigan, aby zarejestrować konto Chegg. LinkedIn jest najpopularniejszą na świecie profesjonalną siecią społecznościową, a uzasadnienie powiązania profilu z adresem @umich.edu może być uzasadnione.

Z drugiej strony Zynga jest twórcą gier online. Poprosi Cię o rejestrację, aby móc uprawiać wirtualne warzywa lub rozwiązywać krzyżówki online. Użycie uniwersyteckiego adresu e-mail do utworzenia tego typu konta po prostu nie wydaje się słuszne, a jak widać, może również zagrozić bezpieczeństwu online.

Konieczność żonglowania tyloma kontami online sprawiła, że niektórzy uwierzyli, że całkowicie straciliśmy kontrolę nad naszymi danymi. Dotyczy to tylko do pewnego stopnia. Kiedy musimy komunikować się z ludźmi, którzy są w stanie kształtować naszą przyszłość, musimy używać oficjalnych adresów e-mail. Z drugiej strony, gdy oczekujemy aktualizacji od marnującej czas gry mobilnej, prawdopodobnie lepiej będzie, jeśli użyjemy niepotrzebnego e-maila, o który nie dbamy zbytnio. W końcu nie możemy zapominać, że zarówno nazwa użytkownika, jak i hasło muszą być identyczne, jeśli atak upychania referencji ma działać.